Antimalware-programvare vil ikke beskytte deg mot en rootkit-infeksjon, så hva kan du gjøre med den nye LoJax-infeksjonen?

Hva er “LoJax” UEFI Rootkit utviklet av russiske hackere?

Annonse En rootkit er en spesielt stygg type malware. En "vanlig" malware-infeksjon laster når du kommer inn i operativsystemet. Det er fortsatt en dårlig situasjon, men en anstendig antivirus bør fjerne skadelig programvare og rydde opp i systemet ditt. Motsatt installerer et rootkit seg til systemets fastvare og gjør det mulig å installere en ondsinnet nyttelast hver gang du starter systemet ditt på nytt. Sikk

Annonse

En rootkit er en spesielt stygg type malware. En "vanlig" malware-infeksjon laster når du kommer inn i operativsystemet. Det er fortsatt en dårlig situasjon, men en anstendig antivirus bør fjerne skadelig programvare og rydde opp i systemet ditt.

Motsatt installerer et rootkit seg til systemets fastvare og gjør det mulig å installere en ondsinnet nyttelast hver gang du starter systemet ditt på nytt.

Sikkerhetsforskere har oppdaget en ny rotkitvariant i naturen, kalt LoJax. Hva skiller denne roten fra andre? Vel, det kan infisere moderne UEFI-baserte systemer, i stedet for eldre BIOS-baserte systemer. Og det er et problem.

LoJax UEFI Rootkit

ESET Research publiserte en forskningsoppgave som beskriver LoJax, en nyoppdaget rootkit (hva er en rootkit?) Som med suksess bruker om en kommersiell programvare med samme navn. (Selv om forskerteamet døpte skadelig programvare "LoJax", heter den ekte programvaren "LoJack.")

I tillegg til trusselen kan LoJax overleve en komplett Windows-installasjon og til og med erstatning av harddisken.

Den skadelige programvaren overlever ved å angripe oppstartssystemet for firmware til UEFI. Andre rootkits kan gjemme seg i drivere eller oppstartssektorer Hva er en bootkit, og er Nemesis en ekte trussel? Hva er en bootkit, og er Nemesis en ekte trussel? Hackere fortsetter å finne måter å forstyrre systemet ditt, for eksempel bootkit. La oss se på hva en bootkit er, hvordan Nemesis-varianten fungerer, og vurder hva du kan gjøre for å holde deg klar. Les mer, avhengig av koding og angriperens intensjon. LoJax kobles til systemets fastvare og infiserer systemet på nytt før OS til og med laster.

Foreløpig er den eneste kjente metoden for å fjerne LoJax malware skadelig ny firmware over det mistenkte systemet. Slik oppdaterer du UEFI BIOS i Windows Slik oppdaterer du UEFI BIOS i Windows De fleste PC-brukere går uten å oppdatere BIOS. Hvis du ivaretar fortsatt stabilitet, bør du imidlertid med jevne mellomrom sjekke om en oppdatering er tilgjengelig. Vi viser deg hvordan du trygt kan oppdatere UEFI BIOS. Les mer . En firmwareflits er ikke noe de fleste brukere har erfaring med. Selv om det er enklere enn tidligere, er det fremdeles viktig at å blinke fast firmware vil gå galt, og potensielt miste den aktuelle maskinen.

Hvordan fungerer LoJax Rootkit?

LoJax bruker en ompakket versjon av Absolute Software LoJack tyverisikringsprogramvare. Det originale verktøyet er ment å være vedvarende gjennom en systemtørking eller utskifting av harddisk slik at lisenshaveren kan spore en stjålet enhet. Årsakene til at verktøyet graver så dypt inn i datamaskinen er ganske legitime, og LoJack er fortsatt et populært tyveriprodukt for disse nøyaktige egenskapene.

Gitt at i USA 97 prosent av stjålne bærbare datamaskiner aldri blir gjenopprettet, er det forståelig brukere som ønsker ekstra beskyttelse for en så kostbar investering.

LoJax bruker en kjernedriver, RwDrv.sys, for å få tilgang til BIOS / UEFI-innstillingene. Kjernedriveren er samlet med RWEverything, et legitimt verktøy som brukes til å lese og analysere datamaskininnstillinger på lavt nivå (biter du normalt ikke har tilgang til). Det var tre andre verktøy i LoJax rootkit infeksjonsprosess:

  • Det første verktøyet dumper informasjon om systeminnstillingene på lavt nivå (kopiert fra RWEverything) til en tekstfil. Omkjøring av systembeskyttelse mot ondsinnede firmwareoppdateringer krever kunnskap om systemet.
  • Det andre verktøyet "lagrer et bilde av systemets fastvare til en fil ved å lese innholdet i SPI-flashminnet." SPI-flashminnet er vert for UEFI / BIOS.
  • Et tredje verktøy legger til den ondsinnede modulen til firmwarebildet og skriver den deretter tilbake til SPI-flashminnet.

Hvis LoJax innser at SPI-flashminnet er beskyttet, utnytter det et kjent sårbarhet (CVE-2014-8273) for å få tilgang til det, fortsetter og skriver rootkit til minnet.

Hvor kom LoJax fra?

ESET-forskerteamet mener at LoJax er arbeidet til den beryktede Fancy Bear / Sednit / Strontium / APT28 russiske hacking-gruppen. Hakkegruppen er ansvarlig for flere store angrep de siste årene.

LoJax bruker de samme kommando- og kontrollserverne som SedUploader - en annen Sednit-malware. LoJax har også lenker og spor etter andre Sednit malware, inkludert XAgent (et annet bakdørverktøy) og XTunnel (et sikkert nettverksproxyverktøy).

I tillegg fant ESET-forskningen at malware-operatørene “brukte forskjellige komponenter av LoJax-skadelig programvare for å målrette mot noen få regjeringsorganisasjoner på Balkan så vel som Sentral- og Øst-Europa.”

LoJax er ikke den første UEFI-rotkit

Nyheten om LoJax fikk sikkerhetsverdenen til å sette seg opp og notere seg. Imidlertid er det ikke den første UEFI-rootkit. Hacking Team (en ondsinnet gruppe, bare i tilfelle du lurte på) brukte en UEFI / BIOS rootkit tilbake i 2015 for å holde en fjernkontrollsystemagent installert på målsystemer.

Den største forskjellen mellom The Hacking Team UEFI rootkit og LoJax er leveringsmetoden. Den gangen trodde sikkerhetsforskere at The Hacking Team krevde fysisk tilgang til et system for å installere firmware-nivå-infeksjonen. Hvis noen har direkte tilgang til datamaskinen din, kan de selvfølgelig gjøre hva de vil. Fortsatt er UEFI rootkit spesielt stygg.

Er systemet ditt utsatt for LoJax?

Moderne UEFI-baserte systemer har flere distinkte fordeler i forhold til sine eldre BIOS-baserte kolleger.

For det første er de nyere. Ny maskinvare er ikke alt og slutter alt, men det gjør mange dataoppgaver enklere.

For det andre har UEFI-firmware også noen ekstra sikkerhetsfunksjoner. Spesielt oppmerksom er Secure Boot, som bare lar programmer med en signert digital signatur kjøres.

Hvis dette er slått av og du støter på et rootkit, kommer du til å ha det dårlig. Secure Boot er et spesielt nyttig verktøy i den nåværende tidsalderen for ransomware. Sjekk ut følgende video av Secure Boot som omhandler den ekstremt farlige NotPetya ransomware:

NotPetya ville ha kryptert alt på målsystemet hvis Secure Boot var slått av.

LoJax er en annen type dyr. I motsetning til tidligere rapporter kan ikke Secure Boot stoppe LoJax . Det er ekstremt viktig å holde UEFI-firmware oppdatert. Det finnes noen spesialiserte anti-rootkit-verktøy. Komplett guide til fjerning av skadelig programvare Komplett guide til fjerning av skadelig programvare Malware er overalt i disse dager, og å utrydde skadelig programvare fra systemet ditt er en lang prosess som krever veiledning. Hvis du tror datamaskinen din er infisert, er dette guiden du trenger. Les mer også, men det er uklart om de kan beskytte mot LoJax.

I likhet med mange trusler med dette nivået av kapasitet, er datamaskinen din imidlertid et hovedmål. Avansert skadelig programvare fokuserer hovedsakelig på mål på høyt nivå. Videre har LoJax indikasjoner på nasjonstatens trusselaktørers engasjement; en annen sterk sjanse LoJax vil ikke påvirke deg på kort sikt. Når det er sagt, har malware en måte å filtrere ut i verden på. Hvis nettkriminelle oppdager vellykket bruk av LoJax, kan det bli mer vanlig i vanlige malware-angrep.

Som alltid er det å holde systemet oppdatert en av de beste måtene å beskytte systemet på. Et Malwarebytes Premium-abonnement er også en god hjelp. 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det Mens gratisversjonen av Malwarebytes er fantastisk, har premiumversjonen en haug med nyttige og verdige funksjoner. Les mer

Utforsk mer om: Malware, Rootkit, UEFI.